漏洞详情

披露状态:

2014-08-18: 细节已通知厂商并且等待厂商处理中
2014-08-23: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-10-17: 细节向核心白帽子及相关领域专家公开
2014-10-27: 细节向普通白帽子公开
2014-11-06: 细节向实习白帽子公开
2014-11-13: 细节向公众公开

简要描述:

no see login verification horse boom broken 无视登陆验证码爆破
no see register verification horse no limit register 无视注册验证码无限注册
no see hint message register arbitrarily no rule username 无视提示信息注册任意不规则用户名
啦啦啦,无视所有验证马~~

详细说明:

由于涉及到验证码,用户名处使用js本地验证,直接禁用js可以绕过验证
本漏洞挖掘灵感由第49期众测而来……
因为阁下用的是siteserver,并且找到漏洞后奖金池已经被打空了(很给力啊),就只能提交主站了……
0x01 配置环境
配置环境就自己配置环境……不解释 :)
这里我用的是iis8.5和sql server 2012

漏洞证明:

0x02 no see login verification horse 无视登陆验证码

1.png


输入用户名,密码后,直接点击提交

2.png


{"success":"true","errorMessage":"u767Bu5F55u5931u8D25uFF0C"}
u767Bu5F55u5931u8D25uFF0C解密后:登录失败?!!!我擦,怎么会酱紫呢??
返回前台发现,已经登陆成功

3.png


再一看之前的json
"success":"true"
汗啊……
0x03 no see register verification horse 无视注册验证码

4.png


随意填写验证码,点击注册
访问:http://127.0.0.1/user.aspx?publishmentSystemID=1&userName=testtest(userName为刚刚注册的用户名)
发现用户已经注册成功了

5.png


0x04 no see hint message register arbitrarily no rule username 无视提示信息注册任意不规则用户名

6.png


注册用户名为:no_see_you~.asp
点击注册
因为头像目录以用户名命名,所以以此可以构造出iis6~7解析漏洞(iis8搞不了呃……)
输入no_see_you~.asp和密码,登陆
alert出了这个

7.png


"="附近有语法错误(坏笑),不知是否有sql注入,但是这不是这个洞的重点……
访问:http://127.0.0.1/user.aspx?publishmentSystemID=1&userName=no_see_you~.asp

8.png


已经注册成功
一杯咖啡后,再次登陆,已经可以登陆鸟(不知道这是为毛)

9.png


0x05 失败的任意文件上传
有了iis解析漏洞后,理论上就可以任意文件上传导致代码执行辣
但是不然
用copy /b 1.jpg+1.asp 123.jpg后,上传合成后的图片
上传后会被服务器重新进行某种操作,导致webshell代码被K掉……
即是这个帖子……
http://zone.wooyun.org/content/14560
后续大牛们可以突破突破……

修复方案:

“验证”码要验证啊 要不就摆设了 :)
另外可以像dz那样,将头像目录改为用uid或者其他纯数字,这样能避免一下iis解析漏洞(毕竟这个.net系统只能在iis下运行……)

标签: none

评论已关闭